O ator de ameaça conhecido como Storm-0501 tem como alvo os setores governamental, industrial, de transporte e de aplicação da lei nos EUA para realizar ataques de ransomware.
A campanha de ataque em vários estágios foi projetada para comprometer ambientes de nuvem híbrida e realizar movimentos laterais do ambiente native para o ambiente de nuvem, resultando em exfiltração de dados, roubo de credenciais, adulteração, acesso backdoor persistente e implantação de ransomware, disse a Microsoft.
“Storm-0501 é um grupo cibercriminoso com motivação financeira que usa ferramentas de commodities e de código aberto para conduzir operações de ransomware”, de acordo com a equipe de inteligência de ameaças da gigante da tecnologia.
Ativo desde 2021, o ator da ameaça tem um histórico de atingir entidades educacionais com o ransomware Sabbath (54bb47h) antes de evoluir para uma afiliada de ransomware como serviço (RaaS) que entrega várias cargas úteis de ransomware ao longo dos anos, incluindo Hive, BlackCat (ALPHV) , Hunters Worldwide, LockBit e Embargo ransomware.
Um aspecto notável dos ataques do Storm-0501 é o uso de credenciais fracas e contas com privilégios excessivos para migrar de organizações locais para infraestrutura em nuvem.
Outros métodos de acesso inicial incluem o uso de uma base já estabelecida por corretores de acesso como Storm-0249 e Storm-0900, ou a exploração de várias vulnerabilidades conhecidas de execução remota de código em servidores voltados para a Web não corrigidos, como Zoho ManageEngine, Citrix NetScaler e Adobe ColdFusion 2016.
O acesso proporcionado por qualquer uma das abordagens mencionadas abre caminho para extensas operações de descoberta para determinar ativos de alto valor, reunir informações de domínio e realizar reconhecimento do Lively Listing. Isto é seguido pela implantação de ferramentas de monitoramento e gerenciamento remoto (RMMs), como AnyDesk, para manter a persistência.
“O agente da ameaça aproveitou os privilégios de administrador nos dispositivos locais que comprometeu durante o acesso inicial e tentou obter acesso a mais contas na rede através de vários métodos”, disse a Microsoft.
“O agente da ameaça utilizou principalmente o módulo SecretsDump da Impacket, que extrai credenciais pela rede, e o aproveitou em um grande número de dispositivos para obter credenciais.”
As credenciais comprometidas são então usadas para acessar ainda mais dispositivos e extrair credenciais adicionais, com o agente da ameaça acessando simultaneamente arquivos confidenciais para extrair segredos do KeePass e conduzindo ataques de força bruta para obter credenciais para contas específicas.
A Microsoft disse que detectou Storm-0501 empregando Cobalt Strike para se mover lateralmente pela rede usando as credenciais comprometidas e enviar comandos subsequentes. A exfiltração de dados do ambiente native é realizada usando Rclone para transferir os dados para o serviço de armazenamento em nuvem pública MegaSync.
O ator de ameaça também foi observado criando acesso backdoor persistente ao ambiente de nuvem e implantando ransomware no native, tornando-o o mais recente ator de ameaça a atingir configurações de nuvem híbrida após Octo Tempest e Manatee Tempest.
“O ator da ameaça usou as credenciais, especificamente o Microsoft Entra ID (anteriormente Azure AD), que foram roubadas no início do ataque para mover lateralmente do ambiente native para o ambiente de nuvem e estabelecer acesso persistente à rede alvo através de um backdoor, “, disse Redmond.
Diz-se que a mudança para a nuvem é realizada por meio de uma conta de usuário comprometida do Microsoft Entra Join Sync ou por meio do sequestro de sessão na nuvem de uma conta de usuário native que possui uma respectiva conta de administrador na nuvem com autenticação multifator (MFA) desabilitada .
O ataque culmina com a implantação do ransomware Embargo em toda a organização vítima, mediante obtenção de controle suficiente sobre a rede, exfiltração de arquivos de interesse e movimentação lateral para a nuvem. Embargo é um ransomware baseado em Rust descoberto pela primeira vez em maio de 2024.
“Operando sob o modelo RaaS, o grupo de ransomware por trás do Embargo permite que afiliados como Storm-0501 usem sua plataforma para lançar ataques em troca de uma parte do resgate”, disse a Microsoft.
“Os afiliados do Embargo empregam táticas de dupla extorsão, onde primeiro criptografam os arquivos da vítima e ameaçam vazar dados confidenciais roubados, a menos que um resgate seja pago.”
A divulgação ocorre no momento em que o grupo de ransomware DragonForce tem como alvo empresas dos setores de manufatura, imobiliário e transporte usando uma variante do construtor LockBit3.0 vazado e uma versão modificada do Conti.
Os ataques são caracterizados pelo uso do backdoor SystemBC para persistência, Mimikatz e Cobalt Strike para coleta de credenciais e Cobalt Strike para movimentação lateral. Os EUA representam mais de 50% do whole de vítimas, seguidos pelo Reino Unido e pela Austrália.
“O grupo emprega táticas de dupla extorsão, criptografando dados e ameaçando vazamentos, a menos que um resgate seja pago”, disse o Group-IB, com sede em Cingapura. “O programa de afiliados, lançado em 26 de junho de 2024, oferece 80% do resgate aos afiliados, junto com ferramentas para gerenciamento e automação de ataques.”
